Северная Корея разработала Advanced JS — объединённое хакерское ПО
Киберпреступная группировка из Северной Кореи, известная как Contagious Interview, демонстрирует впечатляющие успехи в развитии своих хакерских инструментов. Специалисты по кибербезопасности зафиксировали уникальную интеграцию двух вредоносных программ в единое целое.
По данным исследовательской группы Cisco Talos, в последних атаках наблюдается значительное сходство между функционалом вредоносных программ BeaverTail и OtterCookie. Примечательно, что последняя программа получила дополнительный модуль для ведения кейлоггинга и автоматического создания скриншотов.
Данная активность связана с группой, известной под различными наименованиями в сообществе кибербезопасности: CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342, Void Dokkaebi и WaterPlum.
Инновационный подход к киберпреступности проявился после того, как Google Threat Intelligence Group и Mandiant обнаружили использование техники EtherHiding. Злоумышленники извлекали вредоносные нагрузки из блокчейнов BNB Smart Chain и Ethereum, превращая децентрализованную инфраструктуру в надёжный C2-сервер. Это первый подтверждённый случай применения подобной тактики государственными хакерами.
Кампания «Заразительное интервью» стартовала в конце 2022 года и представляет собой сложную схему мошенничества при найме персонала. Хакеры маскировались под рекрутинговые агентства, обманом заставляя жертв устанавливать вредоносное ПО под видом технических тестов.
В арсенале группировки появились новые методы атаки, включая ClickFix для распространения вредоносных программ: GolangGhost, PylangGhost, TsunamiKit, Tropidoor и AkdoorTea. Однако ключевую роль по-прежнему играют три семейства вредоносных программ: BeaverTail, OtterCookie и InvisibleFerret.
BeaverTail специализируется на краже и загрузке данных, тогда как OtterCookie изначально был ориентирован на взаимодействие с удалённым сервером для получения команд. Недавно обнаруженная атака затронула компанию со штаб-квартирой в Шри-Ланке, где заражение произошло через поддельное предложение о работе с троянизированным приложением Node.js Chessfi.
Особого внимания заслуживает факт размещения вредоносного пакета «node-nvm-ssh» в официальном репозитории npm, откуда он был скачан более 300 раз до удаления разработчиками. Этот инцидент стал частью серии из 338 вредоносных библиотек Node.js, выявленных экспертами Software Supply.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
CISA дополнило перечень критичных уязвимостей продуктов Oracle и Microsoft
Управление кибербезопасности США (CISA) обновило реестр активно эксплуатируемых уязвимостей, включив в него пять новых критических брешей в системах безопасности. Особое внимание привлекло подтверждение использования злоумышленниками уязвимости в популярном корпоративном решении Oracle E-Business Suite.
ClickFix: опасности атак через буфер обмена усиливаются
ClickFix-атаки представляют серьёзную угрозу кибербезопасности, маскируясь под различные сервисы: от CAPTCHA до инструментов исправления ошибок на веб-страницах. Суть атаки заключается в том, что злоумышленники обманом заставляют пользователей выполнять вредоносные команды на их собственных устройствах через копирование кода из буфера обмена.
Спам-атака через 131 фальшивое расширение Chrome использовала WhatsApp Web
Специалисты по кибербезопасности обнаружили масштабную операцию, в рамках которой 131 поддельное расширение для Google Chrome использовалось для рассылки спама пользователям WhatsApp в Бразилии.